Wana Decrypt0r

Постов: 3 Рейтинг: 0
1158

Распространение вируса-вымогателя случайно приостановили благодаря регистрации бессмысленного доменного имени

Развернуть
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Распространение вируса-вымогателя случайно приостановили благодаря регистрации бессмысленного доменного имени
Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.
Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
WannaCrypt вирус шифровальщик Wana Decrypt0r pikabu
1540

Ссылки на обновления Microsoft (MS17-010) от уязвимостей, эксплуатируемых Wana Decrypt0r

Развернуть
Каталог обновлений Microsoft под наплывом желающих сейчас очень плохо выдаёт ссылки, поэтому решил потратить время и поделиться ссылками сюда

Windows XP: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Vista x86: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Vista x64: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Server 2008 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Server 2008 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Server 2008 R2: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows 8 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 8 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows Server 2012: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 8.1 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 8.1 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows Server 2012 R2: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 (1511) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 (1511) x64: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 (1607) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 (1607) x64: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Server 2016: http://download.windowsupdate.com/d/msdownload/update/softwa...

Вирус распространяется через 445 порт (его использует samba, служба доступа к файлам), эксплуатирует уязвимость в SMBv1 протоколе (эту устаревшую версию можно отключить отдельно: https://support.microsoft.com/en-us/help/2696547/how-to-enab...).

Подвержены опасности компьютеры, напрямую подключенные к интернету (без NAT/firewall), также есть случаи заражения через UPnP конечных компьютеров (пользователь заходит на зараженный сайт/скачивает вирус, тот пробрасывает 445 порт на этот компьютер, заражает компьютер, затем распространяется тем же методом по локальной сети). Буду рад различным тех. подробностям в комментариях, в том числе актуальной информации о реакции антивирусов.

Делайте бэкапы, недоступные через сеть или интернет простыми способами!
Придумав способ резервного копирования, спросите себя: как может мой бэкап пострадать, какие у моего способа уязвимости? Если есть хитрожопый злоумышленник, как он смог бы лишить меня моих данных?
вирус шифровальщик Wana Decrypt0r обновления windows Microsoft windows Обновление ссылка длиннопост текст pikabu
5679

Как бороться с вирусом-шифровальщиком/вымогателем Wana Decrypt0r 2.0

Развернуть
(Некоторая информация взята со сторонних сайтов)
Способ для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.
1. Скачайте патч MS17-010 для нужной Windows https://technet.microsoft.com/en-us/library/security/ms17-01...
2. Отключитесь от интернета.
3. Откройте командную строку (cmd) от имени администратора.
3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора
4. Вписываете эту команду в командную строку:
netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
4.1 Нажимаете Enter => Должно показать OK.
5. Заходите в безопасный режим
5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"
6. Найдите и удалите папку вируса
6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.
7. Перезагрузите компьютер.
8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
8.1 Во время установки подключитесь к интернету.
Вот и всё. У меня и моих друзей всё заработало.
Просьба не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: http://support.kaspersky.com/viruses/utility ; возможно скоро выйдет декриптор .wncry
Лично я воспользовался программой Shadow Explorer, и восстановил некоторые файлы.
шифровальщик шифровальщик-вымогатель Wana Decrypt0r wncry текст pikabu
Предыдущая Следующая